понедельник, 15 августа 2016 г.

Korean

Korean Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название неизвестно. К зашифрованным файлам добавляется расширение .암호화됨 (т.е. "Зашифровано" на русском или "Encrypted" на английском). Ориентирован на корейских пользователей. 

© Hidden Tear >> Korean Ransomware


Записки с требованием выкупа называются: ReadMe.txt и скринлок на экране. Перевод автора блога. 
Содержание записки:
당신 의 파일 이 암호화 되었습니다. zMUTnnIOp/Ns&3G[Password]

Перевод текста из записки на русский:
Ваши файлы были зашифрованы. zMUTnnIOp/Ns&3G[Password]

1-й экран (для уведомления)

2-й экран (для проведения оплаты)

Содержание текста с 1-го экрана: 
당신의 파일이 암호화 되었습니다.
토르 브라우저틑 다운로드하고 
http://www.torproject.org/projects/torbrowser.html.en
http://t352fwt225ao5mom.onion
당신의 이툴 입력하써요 그후
절 에 프로에스튠 진행하십 시요


Перевод текста с 1-го экрана на русский язык: Ваши файлы были зашифрованы.
Загрузите и установите Tor-браузер
http://www.torproject.org/projects/torbrowser.html.en
http://t352fwt225ao5mom.onion
Откройте и введите ваш ID-код
Следуйте инструкциям на сайте.


Перевод текста со 2-го экрана на русский язык: Ваши файлы были зашифрованы.
Перейти по адресу для оплаты
http://2dasasfwt225dfs5mom.onion.city
Проверьте информацию для дешифрования.
Вернуться на сайт дешифрования. 
Требуется Tor-браузер.

На сайте t352fwt225ao5mom.onion можно выбрать язык интерфейса из 25 языков (русского нет). Напоминает сервис дешифровки от CrypMIC, видимо ему и подражает. Корейские версии CryptoLocker и Radamant, в том числе и подражательские, в прошлом году были наиболее распространенными крипто-вымогателями для корейских пользователей. 

Как можно увидеть из надписи на сайте, этот "Decryption service" вымогателей работает уже 2 месяца. 

 Распространяется с помощью email-спама и вредоносных вложений. 

Детект на VirusTotal >>

 Список файловых расширений, подвергающихся шифрованию: 
Как минимум для вымогателей на основе Hidden Tear: 
.asp, .aspx, .csv, .doc, .docx, .html, .hwp, .jpg, .mdb, .pdf, .php, .png, .ppt, .pptx, .odt, .psd, .sql, .txt, .xls, .xlsx, .xml (21 расширение). 

 Файлы, связанные с Ransomware: 
C:\Users\User_Name\Desktop\ReadMe.txt

 Записи реестра, связанные с Ransomware: 
***

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *